authconfig |
Configuration de l'authentification |
|---|---|
| Linux | Externe |
Syntaxe
| authconfig [options] {--update|--updateall|--test|--probe|--restorebackup name|--savebackup name|--restorelastbackup} |
Paramètres
| Nom | Description |
|---|---|
| --enableshadow | Ce paramètre permet d'activer les mots de passe encodé. |
| --disableshadow | Ce paramètre permet de désactiver les mots de passe encodé. |
| --enablemd5 | Ce paramètre permet d'activer le mot de passe encodé en MD5. |
| --disablemd5 | Ce paramètre permet de désactiver le mot de passe encodé en MD5. |
| --enablenis | Ce paramètre permet d'activer le NIS. |
| --disablenis | Ce paramètre permet de désactiver le NIS. |
| --nisdomain=domain | Ce paramètre permet d'indiquer le domaine NIS spécifié. |
| --nisserver=server | Ce paramètre permet de spécifier le serveur NIS. |
| --enableldap | Ce paramètre permet d'activer le LDAP pour les informations des utilisateurs. |
| --disableldap | Ce paramètre permet de désactiver le LDAP pour les informations des utilisateurs. |
| --enableldaptls | Ce paramètre permet d'activer l'utilisation de TLS avec LDAP. |
| --disableldaptls | Ce paramètre permet de désactiver l'utilisation de TLS avec LDAP. |
| --enableldapauth | Ce paramètre permet d'activer LDAP pour l'authentification. |
| --disableldapauth | Ce paramètre permet de désactiver LDAP pour l'authentification. |
| --ldapserver=server | Ce paramètre permet de définir le serveur LDAP. |
| --ldapbasedn=dn | Ce paramètre permet de définir le DN de base du LDAP. |
| --enablekrb5 | Ce paramètre permet d'activer le Kerberos. |
| --disablekrb5 | Ce paramètre permet de désactiver Kerberos. |
| --krb5kdc=kdc | Ce paramètre permet de définir le KDC du Kerberos. |
| --krb5adminserver=server | Ce paramètre permet de définir le serveur d'administration du Kerberos. |
| --krb5realm=realm | Ce paramètre permet de définir le realm de Kerberos. |
| --enablekrb5kdcdns | Ce paramètre permet d'activer le DNS pour rechercher le KDC dans Kerberos. |
| --disablekrb5kdcdns | Ce paramètre permet de désactiver le DNS pour rechercher le KDC dans Kerberos. |
| --enablekrb5realmdns | Ce paramètre permet d'activer l'utilisation du DNS pour rechercher les realm dans Kerberos. |
| --disablekrb5realmdns | Ce paramètre permet de désactiver l'utilisation du DNS pour rechercher les realm dans Kerberos. |
| --enablesmbauth | Ce paramètre permet d'activer le SMB. |
| --disablesmbauth | Ce paramètre permet de désactiver le SMB. |
| --smbworkgroup=workgroup | Ce paramètre permet de définir le groupe de travail du SMB. |
| --smbservers=server | Ce paramètre permet de définir les serveurs SMB. |
| --enablewinbind | Ce paramètre permet d'activer le winbind pour les informations utilisateur par défaut. |
| --disablewinbind | Ce paramètre permet de désactiver le winbind pour les informations utilisateur par défaut. |
| --enablewinbindauth | Ce paramètre permet d'activer winbindauth pour l'authentification par défaut. |
| --disablewinbindauth | Ce paramètre permet de désactiver winbindauth pour l'authentification par défaut. |
| --smbsecurity=user|server|domain|ads | Ce paramètre permet de définir le mode de sécurité pour Samba et winbind. |
| --smbrealm=STRING | Ce paramètre permet de définir le le realm par défaut pour Samba et winbind quand security=ads. |
| --smbidmapuid=lowest-highest | Ce paramètre permet d'indiquer le rang UID associé avec le domaine ou les utilisateurs ADS. |
| --smbidmapgid=lowest-highest | Ce paramètre permet d'indiquer le rang GID winbind associé avec le domaine ou les utilisateurs ADS. |
| --winbindseparator=\ | Ce paramètre permet d'indiquer le caractère utilisé pour séparé la partie domaine et l'utilisateur dans le nom d'utilisateur du winbind si winbindusedefaultdomain n'est pas activé. |
| --winbindtemplatehomedir=/home/%D/%U | Ce paramètre permet d'indiquer le répertoire où les utilisateurs winbind ont leur dossier «home». |
| --winbindtemplateprimarygroup=nobody | Ce paramètre permet d'indiquer le groupe que les utilisateurs winbind ont comme groupe primaire. |
| --winbindtemplateshell=/bin/false | Ce paramètre permet d'indiquer l'interpréteur de commande que les utilisateurs winbind ont par défaut lorsqu'il se connecte à l'interpréteur de commande. |
| --enablewinbindusedefaultdomain | Ce paramètre permet de configurer winbind afin de supposer que les utilisateurs sans nom de domaine sont des utilisateurs de ce domaine. |
| --disablewinbindusedefaultdomain | Ce paramètre de configurer winbind afin de supposer que les utilisateurs ne sont des utilisateurs de ce domaine. |
| --winbindjoin=Administrator | Ce paramètre permet de rejoindre le domaine winbind ou realm d'ADS maintenant en tant qu'administrateur. |
| --enablewins | Ce paramètre permet d'activer WINS pour la résolution de nom de d'hôte. |
| --disablewins | Ce paramètre permet de désactiver WINS pour la résolution de nom de d'hôte. |
| --enablehesiod | Ce paramètre permet d'activer Hesiod. |
| --disablehesiod | Ce paramètre permet de désactiver Hesiod. |
| --hesiodlhs=lhs | Ce paramètre permet de définir le LHS du Hesiod. |
| --hesiodrhs=rhs | Ce paramètre permet de définir le RHS du Hesiod. |
| --enablecache | Ce paramètre permet d'activer le nscd. |
| --disablecache | Ce paramètre permet désactiver le nscd. |
| --nostart | Ce paramètre permet de ne pas démarrer ou arrêter les services portmap, ypbind ou nscd même s'ils sont configurés. |
| --kickstart | Ce paramètre permet de ne pas afficher l'interface utilisateur. |
| --probe | Ce paramètre permet de sonder et d'afficher les valeurs par défaut du réseau. |
Codes de retour
| Valeur | Description |
|---|---|
| 0 | Cette valeur permet d'indiquer le succès de la commande. |
| 2 | Cette valeur permet d'indiquer qu'une erreur s'est produit dans la commande. |
Description
Cette commande permet d'effectuer la configuration des ressources d'authentification du système. La commande authconfig fournit une méthode simple de configuration de /etc/sysconfig/network pour gérer NIS, ainsi que /etc/passwd et /etc/shadow, les fichiers utilisés pour la prise en charge du mot de passe encrypté. La configuration de base des clients LDAP, Kerberos 5 et Winbind est également fournie.
Si l'action --test est spécifiée, authconfig peut être exécuté par des utilisateurs autres que root, et toutes les modifications de configuration ne sont pas enregistrées mais affichées. Si l'action --update est spécifiée, authconfig doit être exécuté par root (ou via l'aide de la console) et les modifications de configuration sont enregistrées. Seuls les fichiers affectés par les modifications de configuration sont écrasés. Si l'action --updateall est spécifiée, authconfig doit être exécuté par root (ou via l'aide de la console) et tous les fichiers de configuration sont écrits. L'action --probe indique à authconfig d'utiliser le DNS et d'autres moyens pour deviner les informations de configuration de l'hôte actuel, afficher ses suppositions s'il les trouve sur la sortie standard et quitter.
Les actions --restorebackup, --savebackup et --restorelastbackup offrent la possibilité de sauvegarder et de restaurer ultérieurement une sauvegarde des fichiers de configuration modifiés par authconfig. Authconfig enregistre également une sauvegarde automatique des fichiers de configuration avant chaque modification de configuration. Cette sauvegarde spéciale peut être restaurée à l'aide de l'action --restorelastbackup. Si --nostart est spécifié (ce que fait le programme d'installation), ypbind ou d'autres services ne seront ni démarrés ni arrêtés immédiatement après l'exécution du programme, mais uniquement activés pour démarrer ou arrêter au démarrage.
Les paramètres --enablenis, --enableldap, --enablewinbind et --enablehesiod sont utilisées pour configurer les services d'informations utilisateur dans le fichier «/etc/nsswitch.conf», le paramètre «--enablecache» est utilisée pour configurer la mise en cache des services de nommage, et les paramètres --enableshadow, --enableldapauth, --enablekrb5 et --enablewinbindauth sont utilisées pour configurer les fonctions d'authentification via le fichier «/etc/pam.d/system-auth». Chaque paramètre --enable a un paramètre correspondant --disable désactivant le service s'il est déjà activé. Les services respectifs ont des paramètres configurant leurs noms de serveur,...
L'algorithme utilisé pour entreposer les hachages de nouveaux mots de passe peut être spécifié par le paramètre --passalgo prennant l'une des valeurs possibles suivantes en tant que paramètre : «descrypt», «bigcrypt», «md5», «sha256» et «sha512». Le paramètre --enablelocauthorize permet d'ignorer la vérification des services d'authentification réseau pour l'autorisation et le paramètre --enablesysnetauth permet l'authentification des comptes système (avec un identificateur d'utilisateur < 500) par ces services.
Lorsque les paramètres de configuration autorisent l'utilisation de SSSD pour les services d'informations utilisateur et l'authentification, SSSD est automatiquement utilisé à la place des services hérités et la configuration de SSSD est configurée de manière à ce qu'un domaine par défaut soit renseigné avec les paramètres requis pour la connexion aux services. Les paramètres --enablesssd et --enablesssdauth forcent l'ajout de SSSD à «/etc/nsswitch.conf» et à «/etc/pam.d/system-auth», mais elles ne configurent pas le domaine dans les fichiers de configuration SSSD. La configuration SSSD doit être configurée manuellement. La configuration autorisée des services pour SSSD est la suivante : LDAP pour les informations utilisateur (--enableldap) et soit LDAP (--enableldapauth), soit Kerberos (--enablekrb5) pour l'authentification. Si SSSD ne prend pas en charge certaines fonctionnalités des services hérités requises pour la configuration du site, vous pouvez forcer l'utilisation de ces services en définissant «FORCELEGACY=yes» dans «/etc/sysconfig/authconfig». Pour la liste de noms, vous pouvez substituer un nom unique ou une liste de noms séparés par des virgules.
Remarques
- La commande authconfig-tui supporte toutes les paramètres de authconfig mais implique --update comme action par défaut. Sa fenêtre contient un bouton «Cancel» par défaut. Si le paramètre --back est spécifiée au moment de l'exécution, un bouton «Back» est présenté à la place. Si --kickstart est spécifié, aucun écran interactif ne sera vu. Les valeurs que le programme utilisera seront celles spécifiées par les autres paramètres (--passalgo, --enableshadow, ...).
- La commande authconfig-tui est obsolète. Aucun nouveau paramètre de configuration ne sera pris en charge par son interface utilisateur texte. Utilisez plutôt l'interface graphique utilisateur de system-config-authentication ou les paramètres de ligne de commande.
- Cette commande est surtout utilisé sur des distributions CentOS (RedHat) par des administrateurs système.
Fichiers
| Nom | Description |
|---|---|
| /etc/sysconfig/authconfig | Ces fichiers sont utilisés pour suivre si des mécanismes d'authentification particuliers sont activés ou non. Inclut actuellement les variables nommées USESHADOW, USEMD5, USEKERBEROS, USELDAPAUTH, USESMBAUTH, USEWINBIND, USEWINBINDAUTH, USEHESIOD, USENIS, USELDAP et les autres. |
| /etc/passwd /etc/shadow |
Ces fichiers sont utilisés pour supporté les mots de passe encryptés. |
| /etc/yp.conf | Ce fichier contient la configuration pour le support NIS. |
| /etc/sysconfig/network | Ce fichier contient l'autre configuration pour le support NIS. |
| /etc/ldap.conf /etc/nss_ldap.conf /etc/pam_ldap.conf /etc/nslcd.conf /etc/openldap/ldap.conf |
Ces fichiers sont utilisés pour configuré nss_ldap, pam_ldap, nslcd et la bibliothèque OpenLDAP. Seul les fichiers déjà existant dans le système sont modifiés. |
| /etc/krb5.conf | Ce fichier est utilisé pour configurer Kerberos 5. |
| /etc/hesiod.conf | Ce fichier est utilisé pour configurer Hesiod. |
| /etc/samba/smb.conf | Ce fichier est utilisé pour configurer l'authentification winbind. |
| /etc/nsswitch.conf | Ce fichier est utilisé pour configurer les services de configuration d'informations utilisateur. |
| /etc/login.defs | Ce fichier est utilisé pour les paramètres de configuration des comptes utilisateurs (UID minimum d'un utilisateur normal, mot de passe avec un algorithme haché). |
| /etc/pam.d/system-auth | Ce fichier contient la configuration PAM commune pour les services système lequel est inclus en utilisant une directive d'inclusion. Il est créé en tant que lien symbolique et non pas lié à nouveau s'il pointe vers un autre fichier. |
| /etc/pam.d/system-auth-ac | Ce fichier contient la configuration réelle de PAM pour les services système et constitue la cible par défaut du lien symbolique «/etc/pam.d/system-auth». Si une configuration locale de PAM est créée (et liée symboliquement à partir du fichier system-auth), ce fichier peut y être inclus. |
Exemple
L'exemple suivant permet de désactiver l'authentification avec un mot de passe MD5 lors de connexion à distance :
| authconfig --disablemd5 --updateall |